iptables规则记录

zeng362424

一、先来一张网络配置图片
默认这样操作以后，就能通过路由器的wan口192.168.10.20访问lan口192.168.30.x的IP地址。

二、为了安全考虑，需要禁止通过路由器的wan口访问lan口设备。

这个通过一条iptables规则来实现

1. iptables -t mangle -A PREROUTING -i eth0 ! -d 192.168.10.20 -j DROP   这里eth0指的是路由器192.168.10.20的wan接口

复制代码

ipv6配置

1. ip6tables -t mangle -A PREROUTING -i eth0 ! -d ipv6地址 -j DROP -------ip6tables 对应添加eth0的ipv6地址就可以

复制代码

删除添加的iptables规则

1. iptables -t mangle -D PREROUTING -i eth0 ! -d 192.168.10.20 -j DROP 这里eth0指的是路由器192.168.10.20的wan接口

复制代码

ipv6配置

1. ip6tables -t mangle -D PREROUTING -i eth0 ! -d ipv6地址 -j DROP -------ip6tables 对应添加eth0的ipv6地址就可以

复制代码

ps：这里要注意***。当eth0接口down掉以后要立即删除上面添加的规则，等eth0接口up起来以后，再添加eth0的对应的新的ip地址（ip地址有可能会变哦）

zeng362424

三、端口映射功能iptables实现

1. iptables -t nat -A PREROUTING -d 外部IP -p tcp --dport 外部端口 -j DNAT --to 内部IP:内部端口

复制代码

ps：这里添加端口映射功能有一个协议选项指定是tcp还是udp。-p tcp | udp

删除添加的端口映射

1. iptables -t nat -D PREROUTING -d 外部IP -p tcp --dport 外部端口 -j DNAT --to 内部IP:内部端口

复制代码

zeng362424

四、[url=https://www.right.com.cn/forum/thread-327311-1-1.html]这个是原来的禁止下层路由器lan口设备访问上层路由器的实现[/url]

wowplayer

为什么 我这边用BT软件 总是提示我TCP被防火墙/路由阻塞 我WIN防火墙关的 路由器UPNP开启 防火墙添加了相应端口转发 防火墙中转发全部接受 还是不行 而UDP就没这个问题

zeng362424

wowplayer 发表于 2018-12-27 11:58
为什么 我这边用BT软件 总是提示我TCP被防火墙/路由阻塞 我WIN防火墙关的 路由器UPNP开启 防火墙添加了相应 ...

路由器换个软件版本试试？我用的k2p，迅雷下载BT没有遇到这种问题。